রুটকিটগুলি হ্যাকারদের দ্বারা আপনার ডিভাইসের মধ্যে অবিরাম, আপাতদৃষ্টিতে সনাক্ত করা যায় না এমন ম্যালওয়্যার লুকানোর জন্য ব্যবহার করা হয় যা নীরবে ডেটা বা সংস্থান চুরি করে, কখনও কখনও একাধিক বছর ধরে। এগুলি কীলগার ফ্যাশনেও ব্যবহার করা যেতে পারে যেখানে আপনার কীস্ট্রোক এবং যোগাযোগগুলি দর্শকদের গোপনীয়তা তথ্য প্রদান করে সার্ভে করা হয়।
এই বিশেষ হ্যাকিং পদ্ধতিটি 2006-এর পূর্বে আরও প্রাসঙ্গিকতা দেখেছিল, মাইক্রোসফ্ট ভিস্তার আগে বিক্রেতাদের সমস্ত কম্পিউটার ড্রাইভারকে ডিজিটালভাবে স্বাক্ষর করতে হবে। কার্নেল প্যাচ প্রোটেকশন (KPP) ম্যালওয়্যার লেখকদের তাদের আক্রমণের পদ্ধতি পরিবর্তন করতে বাধ্য করেছে এবং সম্প্রতি 2018 সাল থেকে Zacinlo বিজ্ঞাপন জালিয়াতি অপারেশনের মাধ্যমে রুটকিটগুলি আবার স্পটলাইটে প্রবেশ করেছে।
2006-এর আগের রুটকিটগুলি বিশেষভাবে অপারেটিং সিস্টেম-ভিত্তিক ছিল। Zacinlo পরিস্থিতি, Detrahere ম্যালওয়্যার পরিবারের একটি রুটকিট, একটি ফার্মওয়্যার-ভিত্তিক রুটকিটের আকারে আমাদের আরও বিপজ্জনক কিছু দিয়েছে। নির্বিশেষে, রুটকিটগুলি বার্ষিক দেখা সমস্ত ম্যালওয়্যার আউটপুটের প্রায় এক শতাংশ।
তা সত্ত্বেও, তারা যে বিপদগুলি উপস্থাপন করতে পারে তার কারণে, আপনার সিস্টেমে ইতিমধ্যেই অনুপ্রবেশ করা রুটকিটগুলি সনাক্ত করা কীভাবে কাজ করে তা বোঝা বুদ্ধিমানের কাজ হবে৷
Windows 10 এ রুটকিট সনাক্ত করা (গভীরতা)
উইন্ডোজ 10 প্ল্যাটফর্মকে লক্ষ্য করে আবিষ্কৃত হওয়ার আগে Zacinlo প্রায় ছয় বছর ধরে খেলায় ছিল। রুটকিট উপাদানটি অত্যন্ত কনফিগারযোগ্য ছিল এবং এটির কার্যকারিতার জন্য বিপজ্জনক বলে মনে করা প্রক্রিয়াগুলি থেকে নিজেকে রক্ষা করেছিল এবং SSL যোগাযোগগুলিকে বাধা দিতে এবং ডিক্রিপ্ট করতে সক্ষম ছিল৷
এটি উইন্ডোজ রেজিস্ট্রির মধ্যে এর সমস্ত কনফিগারেশন ডেটা এনক্রিপ্ট করবে এবং সঞ্চয় করবে এবং যখন উইন্ডোজ বন্ধ হয়ে যাচ্ছে, তখন মেমরি থেকে ডিস্কে একটি ভিন্ন নাম ব্যবহার করে নিজেকে পুনরায় লিখবে এবং এর রেজিস্ট্রি কী আপডেট করবে। এটি আপনার স্ট্যান্ডার্ড অ্যান্টিভাইরাস সফ্টওয়্যার দ্বারা সনাক্তকরণ এড়াতে সহায়তা করেছে৷
৷এটি দেখায় যে একটি স্ট্যান্ডার্ড অ্যান্টিভাইরাস বা অ্যান্টিম্যালওয়্যার সফ্টওয়্যার রুটকিট সনাক্ত করার জন্য যথেষ্ট নয়। যদিও, কয়েকটি শীর্ষ স্তরের অ্যান্টিম্যালওয়্যার প্রোগ্রাম রয়েছে যা আপনাকে রুটকিট আক্রমণের সন্দেহ সম্পর্কে সতর্ক করবে।
একটি ভালো অ্যান্টিভাইরাস সফ্টওয়্যারের ৫টি মূল বৈশিষ্ট্য
আজকের বেশিরভাগ বিশিষ্ট অ্যান্টিভাইরাস প্রোগ্রামগুলি রুটকিট সনাক্ত করার জন্য এই পাঁচটি উল্লেখযোগ্য পদ্ধতির সবকটি সম্পাদন করবে৷
- স্বাক্ষর-ভিত্তিক বিশ্লেষণ - অ্যান্টিভাইরাস সফ্টওয়্যার রুটকিটের পরিচিত স্বাক্ষরের সাথে লগ করা ফাইলের তুলনা করবে। বিশ্লেষণটি আচরণগত নিদর্শনগুলিও সন্ধান করবে যা পরিচিত রুটকিটগুলির নির্দিষ্ট অপারেটিং কার্যকলাপের অনুকরণ করে, যেমন আক্রমণাত্মক পোর্ট ব্যবহার৷
- ইন্টারসেপশন ডিটেকশন - উইন্ডোজ অপারেটিং সিস্টেম এমন কমান্ড চালানোর জন্য পয়েন্টার টেবিল ব্যবহার করে যা একটি রুটকিটকে কাজ করার জন্য প্রম্পট করে। যেহেতু রুটকিটগুলি হুমকি হিসাবে বিবেচিত যে কোনও কিছুকে প্রতিস্থাপন বা পরিবর্তন করার চেষ্টা করে, তাই এটি আপনার সিস্টেমকে তাদের উপস্থিতি সম্পর্কে জানাবে৷
- মাল্টি সোর্স ডেটা তুলনা - রুটকিট, লুকিয়ে থাকার প্রয়াসে, একটি স্ট্যান্ডার্ড পরীক্ষায় উপস্থাপিত কিছু ডেটা পরিবর্তন করতে পারে। উচ্চ এবং নিম্ন-স্তরের সিস্টেম কলের প্রত্যাবর্তিত ফলাফল একটি রুটকিটের উপস্থিতি প্রদান করতে পারে। সফ্টওয়্যারটি হার্ড ডিস্কের ফাইলের বিষয়বস্তুর সাথে RAM-তে লোড হওয়া প্রক্রিয়া মেমরির তুলনা করতে পারে৷
- সততা পরীক্ষা - প্রতিটি সিস্টেম লাইব্রেরিতে একটি ডিজিটাল স্বাক্ষর থাকে যা সিস্টেমটিকে "পরিষ্কার" হিসাবে বিবেচনা করার সময় তৈরি করা হয়েছিল। ভাল নিরাপত্তা সফ্টওয়্যার ডিজিটাল স্বাক্ষর তৈরি করতে ব্যবহৃত কোডের যেকোনো পরিবর্তনের জন্য লাইব্রেরিগুলি পরীক্ষা করতে পারে৷
- রেজিস্ট্রি তুলনা - বেশিরভাগ অ্যান্টিভাইরাস সফ্টওয়্যার প্রোগ্রামগুলিতে এটি একটি পূর্বনির্ধারিত সময়সূচীতে থাকে। ক্লায়েন্ট ফাইলের সাথে একটি পরিষ্কার ফাইলের তুলনা করা হবে, রিয়েল-টাইমে, ক্লায়েন্টটি একটি অপ্রত্যাশিত এক্সিকিউটেবল (.exe) কিনা তা নির্ধারণ করতে।
রুটকিট স্ক্যান করা হচ্ছে
একটি রুটকিট স্ক্যান করা রুটকিট সংক্রমণ সনাক্ত করার সর্বোত্তম প্রচেষ্টা। প্রায়শই আপনার অপারেটিং সিস্টেমটি নিজেই একটি রুটকিট সনাক্ত করতে বিশ্বাস করা যায় না এবং এর উপস্থিতি নির্ধারণের জন্য একটি চ্যালেঞ্জ উপস্থাপন করে। রুটকিটগুলি মাস্টার গুপ্তচর, প্রায় প্রতিটি মোড়ে তাদের ট্র্যাকগুলিকে ঢেকে রাখে এবং সরল দৃষ্টিতে লুকিয়ে থাকতে সক্ষম৷
আপনি যদি সন্দেহ করেন যে আপনার মেশিনে একটি রুটকিট ভাইরাস আক্রমণ ঘটেছে, সনাক্তকরণের জন্য একটি ভাল কৌশল হবে কম্পিউটারকে পাওয়ার ডাউন করা এবং একটি পরিচিত পরিষ্কার সিস্টেম থেকে স্ক্যানটি চালানো। আপনার মেশিনের মধ্যে একটি রুটকিট সনাক্ত করার একটি নিশ্চিত উপায় হল মেমরি ডাম্প বিশ্লেষণের মাধ্যমে। একটি রুটকিট আপনার সিস্টেমকে যে নির্দেশনা দেয় তা লুকিয়ে রাখতে পারে না কারণ এটি মেশিনের মেমরিতে সেগুলি চালায়৷
ম্যালওয়্যার বিশ্লেষণের জন্য WinDbg ব্যবহার করা
মাইক্রোসফ্ট উইন্ডোজ তার নিজস্ব মাল্টি-ফাংশন ডিবাগিং টুল সরবরাহ করেছে যা অ্যাপ্লিকেশন, ড্রাইভার বা অপারেটিং সিস্টেমে ডিবাগিং স্ক্যান করতে ব্যবহার করা যেতে পারে। এটি কার্নেল-মোড এবং ব্যবহারকারী-মোড কোড ডিবাগ করবে, ক্র্যাশ ডাম্প বিশ্লেষণ করতে সাহায্য করবে এবং CPU রেজিস্টার পরীক্ষা করবে।
কিছু উইন্ডোজ সিস্টেম WinDbg এর সাথে আসবে যা ইতিমধ্যেই বান্ডিল করা আছে। যাদের নেই তাদের মাইক্রোসফট স্টোর থেকে ডাউনলোড করতে হবে। WinDbg প্রিভিউ হল WinDbg-এর আরও আধুনিক সংস্করণ, যা চোখের ভিজ্যুয়াল, দ্রুত উইন্ডোজ, সম্পূর্ণ স্ক্রিপ্টিং এবং মূলের মতো একই কমান্ড, এক্সটেনশন এবং ওয়ার্কফ্লো প্রদান করে।
একেবারে ন্যূনতম, আপনি একটি ব্লু স্ক্রিন অফ ডেথ (BSOD) সহ মেমরি বা ক্র্যাশ ডাম্প বিশ্লেষণ করতে WinDbg ব্যবহার করতে পারেন। ফলাফলগুলি থেকে, আপনি একটি ম্যালওয়্যার আক্রমণের সূচকগুলি সন্ধান করতে পারেন৷ ৷ যদি আপনি মনে করেন যে আপনার প্রোগ্রামগুলির মধ্যে একটি ম্যালওয়ারের উপস্থিতি দ্বারা বাধাগ্রস্ত হতে পারে, বা প্রয়োজনের চেয়ে বেশি মেমরি ব্যবহার করছে, আপনি একটি ডাম্প ফাইল তৈরি করতে পারেন এবং এটি বিশ্লেষণ করতে WinDbg ব্যবহার করতে পারেন৷
একটি সম্পূর্ণ মেমরি ডাম্প একটি উল্লেখযোগ্য ডিস্ক স্থান নিতে পারে তাই এটি একটি কার্নেল-মোড সম্পাদন করা ভাল হতে পারে পরিবর্তে ডাম্প বা ছোট মেমরি ডাম্প। একটি কার্নেল-মোড ডাম্প ক্র্যাশের সময় কার্নেলের দ্বারা সমস্ত মেমরি ব্যবহারের তথ্য ধারণ করবে। একটি ছোট মেমরি ডাম্পে ড্রাইভার, কার্নেল এবং আরও অনেক কিছুর মতো বিভিন্ন সিস্টেমের প্রাথমিক তথ্য থাকবে, তবে তুলনামূলকভাবে ছোট।
বিএসওডি কেন ঘটেছে তা বিশ্লেষণে ছোট মেমরি ডাম্পগুলি আরও কার্যকর। রুটকিট সনাক্ত করার জন্য, একটি সম্পূর্ণ বা কার্নেল সংস্করণ আরও সহায়ক হবে।
একটি কার্নেল-মোড ডাম্প ফাইল তৈরি করা হচ্ছে
একটি কার্নেল-মোড ডাম্প ফাইল তিনটি উপায়ে তৈরি করা যেতে পারে:
- কন্ট্রোল প্যানেল থেকে ডাম্প ফাইল সক্রিয় করুন যাতে সিস্টেমটি নিজেই ক্র্যাশ হতে পারে
- কন্ট্রোল প্যানেল থেকে ডাম্প ফাইল সক্রিয় করুন যাতে সিস্টেমটি ক্রাশ হতে বাধ্য হয়
- আপনার জন্য একটি তৈরি করতে একটি ডিবাগার টুল ব্যবহার করুন
আমরা তিন নম্বর পছন্দের সাথে যাচ্ছি।
প্রয়োজনীয় ডাম্প ফাইলটি সম্পাদন করতে, আপনাকে WinDbg-এর কমান্ড উইন্ডোতে শুধুমাত্র নিম্নলিখিত কমান্ডটি প্রবেশ করতে হবে।
ফাইলের নাম প্রতিস্থাপন করুন ডাম্প ফাইলের জন্য একটি উপযুক্ত নাম এবং "?" একটি f সহ . নিশ্চিত করুন যে "f" ছোট হাতের হয় না হলে আপনি একটি ভিন্ন ধরনের ডাম্প ফাইল তৈরি করবেন।
একবার ডিবাগার তার কোর্সটি চালালে (প্রথম স্ক্যানটি যথেষ্ট মিনিট সময় নেবে), একটি ডাম্প ফাইল তৈরি করা হবে এবং আপনি আপনার ফলাফলগুলি বিশ্লেষণ করতে সক্ষম হবেন৷
রুটকিটের উপস্থিতি নির্ধারণের জন্য আপনি কী খুঁজছেন, যেমন উদ্বায়ী মেমরি (RAM) ব্যবহার, তা বোঝার জন্য অভিজ্ঞতা এবং পরীক্ষা লাগে। লাইভ সিস্টেমে ম্যালওয়্যার আবিষ্কারের কৌশল পরীক্ষা করা সম্ভব, যদিও একজন নবজাতকের জন্য প্রস্তাবিত নয়। এটি করার জন্য আবার WinDbg-এর কাজের উপর দক্ষতা এবং গভীর জ্ঞান লাগবে যাতে ভুলবশত আপনার সিস্টেমে একটি লাইভ ভাইরাস স্থাপন না হয়।
আমাদের ভাল-লুকানো শত্রুকে উন্মোচন করার জন্য আরও নিরাপদ, আরও শিক্ষানবিস-বান্ধব উপায় রয়েছে৷
৷অতিরিক্ত স্ক্যানিং পদ্ধতি
রুটকিট সনাক্ত করার জন্য ম্যানুয়াল সনাক্তকরণ এবং আচরণগত বিশ্লেষণও নির্ভরযোগ্য পদ্ধতি। রুটকিটের অবস্থান আবিষ্কার করার চেষ্টা করা একটি বড় ব্যথা হতে পারে, তাই রুটকিটকে লক্ষ্য করার পরিবর্তে, আপনি রুটকিটের মতো আচরণগুলি সন্ধান করতে পারেন৷
আপনি ইনস্টলেশনের সময় অ্যাডভান্সড বা কাস্টম ইনস্টল বিকল্পগুলি ব্যবহার করে ডাউনলোড করা সফ্টওয়্যার বান্ডেলগুলিতে রুটকিটগুলি সন্ধান করতে পারেন। বিশদ বিবরণে তালিকাভুক্ত কোনো অপরিচিত ফাইলের জন্য আপনাকে যা খুঁজতে হবে। এই ফাইলগুলি বাতিল করা উচিত, অথবা আপনি দূষিত সফ্টওয়্যারগুলির কোনও উল্লেখের জন্য অনলাইনে দ্রুত অনুসন্ধান করতে পারেন৷
ফায়ারওয়াল এবং তাদের লগিং রিপোর্ট একটি রুটকিট আবিষ্কার করার জন্য একটি অবিশ্বাস্যভাবে কার্যকর উপায়। আপনার নেটওয়ার্ক পরীক্ষা-নিরীক্ষার অধীনে থাকলে সফ্টওয়্যারটি আপনাকে অবহিত করবে এবং ইনস্টলেশনের আগে কোনো অচেনা বা সন্দেহজনক ডাউনলোডকে আলাদা করে রাখা উচিত।
যদি আপনি সন্দেহ করেন যে আপনার মেশিনে একটি রুটকিট ইতিমধ্যেই থাকতে পারে, আপনি ফায়ারওয়াল লগিং রিপোর্টগুলিতে ডুব দিতে পারেন এবং সাধারণ আচরণের বাইরের যে কোনওটি সন্ধান করতে পারেন৷
ফায়ারওয়াল লগিং রিপোর্ট পর্যালোচনা করা হচ্ছে
আপনি IP ট্রাফিক স্পাই-এর মতো একটি ওপেন-সোর্স অ্যাপ্লিকেশন তৈরি করে আপনার বর্তমান ফায়ারওয়াল লগিং রিপোর্টগুলি পর্যালোচনা করতে চাইবেন ফায়ারওয়াল লগ ফিল্টারিং ক্ষমতা সহ, একটি খুব দরকারী টুল। রিপোর্টগুলি আপনাকে দেখাবে যে আক্রমণ ঘটলে কী দেখা দরকার।
আপনার যদি একটি স্বতন্ত্র ইগ্রেস ফিল্টারিং ফায়ারওয়াল সহ একটি বড় নেটওয়ার্ক থাকে তবে আইপি ট্র্যাফিক স্পাই এর প্রয়োজন হবে না। পরিবর্তে, আপনি ফায়ারওয়াল লগের মাধ্যমে নেটওয়ার্কের সমস্ত ডিভাইস এবং ওয়ার্কস্টেশনে ইনবাউন্ড এবং আউটবাউন্ড প্যাকেটগুলি দেখতে সক্ষম হবেন৷
আপনি একটি বাড়িতে বা ছোট ব্যবসার সেটিংয়েই থাকুন না কেন, আপনি আপনার ISP দ্বারা প্রদত্ত মডেম ব্যবহার করতে পারেন বা, যদি আপনি একটির মালিক হন, একটি ব্যক্তিগত ফায়ারওয়াল বা রাউটার ফায়ারওয়াল লগগুলি টানতে। আপনি একই নেটওয়ার্কের সাথে সংযুক্ত প্রতিটি ডিভাইসের জন্য ট্রাফিক সনাক্ত করতে সক্ষম হবেন।
উইন্ডোজ ফায়ারওয়াল লগ ফাইলগুলি সক্ষম করাও উপকারী হতে পারে। ডিফল্টরূপে, লগ ফাইলটি নিষ্ক্রিয় থাকে যার অর্থ কোন তথ্য বা ডেটা লেখা হয় না।
- একটি লগ ফাইল তৈরি করতে, Windows কী + R টিপে রান ফাংশনটি খুলুন .
- wf.msc টাইপ করুন বাক্সে প্রবেশ করুন এবং এন্টার টিপুন .
- উইন্ডোজ ফায়ারওয়াল এবং অ্যাডভান্সড সিকিউরিটি উইন্ডোতে বাম পাশের মেনুতে "লোকাল কম্পিউটারে অ্যাডভান্সড সিকিউরিটি সহ উইন্ডোজ ডিফেন্ডার ফায়ারওয়াল" হাইলাইট করুন। ডানদিকের মেনুতে "ক্রিয়া" এর অধীনে বৈশিষ্ট্যগুলি ক্লিক করুন৷ .
- নতুন ডায়ালগ উইন্ডোতে, "ব্যক্তিগত প্রোফাইল" ট্যাবে নেভিগেট করুন এবং কাস্টমাইজ করুন নির্বাচন করুন , যা "লগিং" বিভাগে পাওয়া যাবে।
- নতুন উইন্ডোটি আপনাকে কত বড় লগ ফাইল লিখতে হবে, ফাইলটি কোথায় পাঠাতে চান এবং শুধুমাত্র ড্রপ করা প্যাকেট, সফল সংযোগ, বা উভয়ই লগ করতে হবে তা নির্বাচন করার অনুমতি দেবে।
- ড্রপ করা প্যাকেটগুলি হল যেগুলি Windows ফায়ারওয়াল আপনার পক্ষে ব্লক করেছে৷
- ডিফল্টরূপে, Windows ফায়ারওয়াল লগ এন্ট্রিগুলি শুধুমাত্র শেষ 4MB ডেটা সংরক্ষণ করবে এবং %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log-এ পাওয়া যাবে
- মনে রাখবেন যে লগের জন্য ডেটা ব্যবহারের আকারের সীমা বাড়ানো আপনার কম্পিউটারের কর্মক্ষমতা প্রভাবিত করতে পারে৷
- ঠিক আছে টিপুন শেষ হলে।
- পরবর্তী, আপনি এইমাত্র "ব্যক্তিগত প্রোফাইল" ট্যাবে যে ধাপগুলি দিয়েছিলেন সেই একই পদক্ষেপগুলি পুনরাবৃত্তি করুন, শুধুমাত্র এইবার "পাবলিক প্রোফাইল" ট্যাবে৷
- লগগুলি এখন পাবলিক এবং প্রাইভেট উভয় সংযোগের জন্য তৈরি করা হবে। আপনি নোটপ্যাডের মতো টেক্সট এডিটরে ফাইল দেখতে পারেন বা স্প্রেডশীটে আমদানি করতে পারেন।
- আপনি এখন লগের ফাইলগুলিকে একটি ডেটাবেস পার্সার প্রোগ্রামে রপ্তানি করতে পারেন যেমন আইপি ট্র্যাফিক স্পাই সহজে শনাক্তকরণের জন্য ট্র্যাফিক ফিল্টার এবং সাজাতে৷
লগ ফাইলে সাধারণ কিছুর জন্য নজর রাখুন। এমনকি সিস্টেমের সামান্য ত্রুটিও রুটকিট সংক্রমণ নির্দেশ করতে পারে। অত্যধিক সিপিইউ বা ব্যান্ডউইথ ব্যবহারের লাইন বরাবর কিছু যখন আপনি খুব বেশি চাহিদাপূর্ণ কিছু চালাচ্ছেন না, বা একেবারেই, একটি প্রধান সূত্র হতে পারে৷
